none
如何查询服务器上的文件来源 RRS feed

  • 问题

  • 局域网内的服务器普遍使用Winserver 2012 R2 和Winserver 2008 R2操作系统。

    昨天在内网的三台机器上发现了相同的木马程序。现在想知道,是否可以查询到木马程序的来源。是从局域网哪台机器扩散的,木马程序最初是通过什么渠道进入第一台被感染的机器的?

    我们的服务器一般搭载Symantec Endpoint Protect,基本排除木马通过外网漏洞攻击渗透,倾向于最初是从内网输入进来。

    请问像这种情况,有办法通过系统自带的日志来查询吗?

    2020年9月24日 2:13

全部回复

  • 你好,

    1. 一般来说,系统自带的日志记录的主要是系统组件的错误警告状态等,无法直接记录病毒的相关信息。换言之,记录的一般是病毒带来的对系统的影响而不是直接记录病毒。

    2. 根据您的描述,有以下一些关于追踪病毒的建议,供您参考:

    1)关闭三方应用程序,在运行尽可能少的应用程序的情况下,打开CMD,运行netstat -ano,看看是否有不常用的端口开放:

    查看是否存在一些恶意的IP连接,比如开放了一些不常见的端口,一般正常使用到的端口:

    80网站端口
    8888端口
    21FTP端口
    3306数据库的端口
    443 SSL证书端口
    9080 java端口
    22 SSH端口
    3389默认的远程管理端口
    433 SQL数据库端口
    除以上端口要正常开放,其余开放的端口就要仔细的检查一下了,看是否向外连接。查看到有向外联接的IP也不一定就是中病毒了。可以到网上查询下IP的来源,可以简单判断。

    2)打开msconfig>服务,点击“隐藏所有Microsoft服务”,然后看看是否有可疑的服务。

    3)借助一些三方的病毒查杀工具,看看是否可以检测出更准确的信息。

    由于查看病毒的来源本身是一件比较复杂的事情,Windows没有直接的日志可以记录,所以我们只能使用多种工具相结合,才能找到一些线索。感谢您的理解。

    您也可以咨询一下内网用户使用者最近是否打开了一些三方链接等。

    感谢您的时间!如果该回复对您有帮助的话,请将回复标记为答案。感谢您!

    Best Regards,

    Anne


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月24日 5:37
    版主